Bedrohungsanalyse

    Threat Intelligence für die 99 Prozent - Teil 3: Wann wird sie benötigt?

    Sind Sie groß genug, um die Fahrt für die Bedrohungsanalyse mitzumachen?

    by Marc French
    mime_blog_threat.jpg

    Willkommen zur neuesten Ausgabe unserer Blogserie Threat Intelligence für die 99% . Diese Woche befassen wir uns mit den Indikatoren dafür, wann Sie ein Programm zur Aufklärung von Cyber-Bedrohungen (CTI) einführen müssen.

    Wenn ich über den Reifegrad eines Cybersicherheitsprogramms nachdenke, vergleiche ich es mit den Achterbahnen in Ihrem örtlichen Vergnügungspark: Die Leute müssen groß genug sein, um mitfahren zu können. Wenn sie nicht groß genug sind, sitzen sie am Rand und schauen zu, während alle anderen fahren.

    Um ein KTI-Programm überhaupt in Erwägung zu ziehen, sollten Sie als Unternehmen bestimmte Benchmarks erreichen. Schauen wir uns diese Maßstäbe an, damit Sie sehen können, wo Sie stehen.

    Die Grundlagen für Cyber-Bedrohungen und Aufklärung

    Wenn Sie mit Threat Intelligence beginnen, sollten Sie nicht einmal über die Implementierung von CTI nachdenken, wenn Sie nicht bereits die folgenden Maßnahmen ergriffen haben:

    • Sie können Ihre Systeme adäquat patchen
    • Sie haben die Kontrolle über Ihre Umgebung
    • Sie haben eine Antiviren-Lösung auf Ihren Desktops laufen
    • Sie haben gute, solide Multi-Faktor-Authentifizierungsdienste im Einsatz

    Wenn Sie diese Dinge nicht tun, haben Sie wirklich keinen Grund, über die grundlegende Vertrauensdiskussion hinaus, über die wir in Teil 2 gesprochen haben, in die CTI einzusteigen. Hier haben Sie zumindest eine Antwort für Ihren CEO, wenn er sich nach dem neuesten Angriff erkundigt, den er auf CNN gesehen hat.

    Wir haben auch darüber gesprochen, dass Informationen gleichbedeutend mit Maßnahmen Ihrerseits sind. Diese grundlegenden Funktionen innerhalb Ihrer Sicherheitsumgebung dienen als Grundlage für die Implementierung der präventiven, detektiven und administrativen Kontrollen, die erforderlich sind, um auf die Informationen zu reagieren, die Sie erhalten. Wenn Sie diese Mechanismen nicht eingerichtet haben und einsetzen können, können Sie die Informationen nicht wirklich umsetzen. So einfach ist das.

    Das Mindestsicherheitsprofil für CTI

    Angenommen, Sie verfügen über alle Mechanismen und Technologien, um Bedrohungsdaten in Ihre Umgebung einzubringen. Was ist mit den Menschen? Gibt es ein Mindestprofil für das Sicherheitsteam, das Sie für die CTI benötigen? Das hängt von vielen Faktoren ab, unter anderem davon, was für ein einzelnes Unternehmen wichtig sein kann.

    Ein Beispiel: eine regionale Bank mit 20 lokalen Filialen und einem kleinen Sicherheitsteam, das sich hauptsächlich darauf konzentriert, die Lichter am Leuchten zu halten: die Kompromittierung von Geschäfts-E-Mails zu stoppen, Überweisungsbetrug zu verhindern und allgemein einen Risikomanagement-Ansatz zu verfolgen. Sie erfüllen wahrscheinlich die Anforderungen, um "mitfahren" zu können, aber was ist für sie wichtig? Möglicherweise liegt der Schwerpunkt eher auf der administrativen Seite und weniger auf den präventiven und detektiven Kontrollen, die den Kern der CTI ausmachen.

    Auf der anderen Seite der Medaille kann ein Produktionsunternehmen die Sache anders sehen. Ein Hersteller von Widgets ist vielleicht nur daran interessiert, alles zu tun, was nötig ist, damit die Widgets weiterhin produziert werden können. In diesem Fall könnte er einen eher präventiven Ansatz verfolgen, bei dem Bedrohungsdaten im Allgemeinen einen größeren Wert haben.

    Was ist also das Mindestprofil für KTI? Wenn Sie den Wert von Informationen erkannt haben und wissen, wie sie sich auf Ihr Unternehmen auswirken können, oder wenn Sie die Art von Informationen erkannt haben, die Sie benötigen, um Ihre Hauptaufgabe zu erfüllen. Diese Kernaufgabe wird von Unternehmen zu Unternehmen sehr unterschiedlich sein.

    Gibt es eine Forcierungsfunktion für KTI?

    Wenn Sie als Organisation an den Punkt kommen, an dem Sie bereit sind, KTI durchzuführen, werden Sie es wahrscheinlich nicht "einfach so" tun. Es ist auch keine gute Idee, mit KTI zu beginnen, nur weil alle anderen es tun. Es ist wahrscheinlicher, dass Sie eine Art milderndes Ereignis haben, das zur Einführung eines echten KTI-Programms führt.

    Szenario Nr. 1: Sie haben ein größeres Sicherheitsereignis, bei dem die Verfügbarkeit von Bedrohungsdaten einen Unterschied gemacht hätte. Das ist eine reaktive Position - und definitiv keine, in der Sie sein wollen, wenn Sie es vermeiden können.

    Szenario Nr. 2: Möglicherweise gibt es in Ihrem Unternehmen einen Vorfall (z. B. bei anderen Hotelketten nach dem Verstoß gegen die Marriott Starwood ), der Sie zu der Überlegung veranlasst, wie Bedrohungsdaten eine Rolle gespielt haben könnten.

    Szenario #3: Ein größeres Geschäftsereignis, z. B. eine Fusion oder Übernahme, bei der es notwendig ist, die Risiken des neuen Unternehmens zu verstehen. Dies ist ein proaktiverer Ansatz für die Bedrohungsanalyse, der durchaus notwendig sein kann.

    Szenario Nr. 4: Und dann gibt es noch das Szenario, das ich für das unwahrscheinlichste halte: Sie sagen einfach: "Ich will besser werden" und versuchen, CTI einzuführen. Es gibt nur eine begrenzte Anzahl von Dollars, vor allem in den IT- und Sicherheitsbudgets, und der Versuch, die Führungsebene zu überzeugen, ohne etwas anderes zu sagen als "Ich will es besser machen", wird wahrscheinlich nicht funktionieren.

    Wenn Sie grünes Licht für ein KTI-Programm bekommen, wie gehen Sie dann am besten vor? Dieser Frage gehen wir im nächsten Beitrag nach.

    Möchten Sie mehr darüber erfahren, wie Sie Ihr Threat Intelligence-Programm verbessern können? Besuchen Sie uns auf der RSA Conference im Moscone Center in San Francisco am Stand S 935 vom 4. bis 8. März.

    blog_banner_threatintel.png
    E-Book herunterladen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang